Wichtige Neuerungen
Die europäischen Regulierungsbehörden haben wichtige Updates zur Umsetzung der starken Kundenauthentifizierung (Strong Customer Authentication, SCA) veröffentlicht, die sich möglicherweise auf Ihr Geschäft auswirken. Mögliche Auswirkungen möchten wir im folgenden Dokument kurz skizzieren.
Die neuen Bestimmungen hinsichtlich starker Kundenauthentifizierung
Wir haben Sie bereits informiert, dass ab dem 14. September 2019 für alle E-Commerce-Transaktionen über 30 Euro die Zwei-Faktor-Authentifizierung (2FA) zwingend erforderlich wird.
Bei der Zwei-Faktor-Authentifizierung prüft der Kartenherausgeber die Identität des Karteninhabers anhand von zwei Faktoren aus drei möglichen Kategorien:
- Etwas, das Ihr Kunde weiß, z. B. eine PIN oder ein dynamisches Einmalpasswort, das vom Herausgeber an den Karteninhaber per SMS übermittelt wird
- Etwas, das Ihr Kunde besitzt, z. B. eine Karte oder ein Smartphone
- Etwas, das Ihren Kunden ausweist, z. B. der Fingerabdruck oder die Gesichtserkennung
Elavon ermöglicht es Ihnen als Händler, die SCA-Anforderungen zu erfüllen; es liegt jedoch in der Verantwortung des Kartenherausgebers, die Identität der Karteninhaber unter Verwendung der 2FA zu überprüfen.
Die wichtigste Änderung dieser Verordnung besteht darin, dass sich Ihr Kunde bei seinem Kartenherausgeber oder seiner Bank authentifizieren muss; es sei denn, eine Transaktion liegt unter 30 Euro oder kann aus anderen Gründen ausgenommen werden. Ferner ist es notwendig, dass jede einzelne Transaktion in die neueste Version von 3D Secure überführt wird.
Was ändert sich?
Die Europäische Bankenaufsichtsbehörde (EBA), die die Einführung der neuen Vorschriften überwacht, hat auf die von Unternehmen, Zahlungsanbietern, Kartenherausgebern und Banken geäußerten Bedenken hinsichtlich möglicher negativer Auswirkungen einer strikten Umsetzung der neuen Vorschriften am 14. September 2019 reagiert.
Dies liegt daran, dass einige europäische Finanzinstitute (Zahlungsanbieter oder Kartenherausgeber) nicht in der Lage sein werden, die SCA-Anforderungen innerhalb der Frist vollständig zu erfüllen.
Die Mitteilung der EBA im Wortlauf:
In Ausnahmefällen und zur Vermeidung negativer unbeabsichtigter Folgen für einige Nutzer von Zahlungsdiensten (Karteninhaber) nach dem 14. September 2019, kann den Finanzinstituten eine begrenzte zusätzliche Frist gewährt werden, um zu Ansätzen zu wechseln, die den SCA-Anforderungen entsprechen.“
In der Leitlinie heißt es weiter, dass es Aufgabe der zuständigen nationalen Behörde (z. B. der BaFin in Deutschland) ist, zu entscheiden, ob auf Grundlage eines soliden und genau überwachten Migrationsplans eine begrenzte zusätzliche Frist gewährt werden sollte.
Zum gegenwärtigen Zeitpunkt ist noch nicht klar, wie lange die „begrenzte zusätzliche Frist“ dauern könnte. Elavon wird Sie unverzüglich informieren, sobald ein Datum bekannt gegeben wird.
Was bedeutet das für mein Geschäft?
Die Position der EBA bleibt unverändert, da die Frist bis zum 14. September bestehen bleibt und als nationales Recht nach PSD2 verankert wird.
Sofern keine formelle Verlängerung der Frist vereinbart wurde, wird von den Finanzinstituten deren Einhaltung erwartet. Elavon wird seine SCA-Verpflichtungen erfüllen, so dass Sie in der Lage sein sollten, diese ebenfalls zu erfüllen.
Abhängig vom Standort ihrer Kunden ist es jedoch möglich, dass einige Kartenherausgeber SCA noch nicht unterstützen können.
Wie bei den bestehenden 3D Secure-Protokollen, bei denen Ihr Unternehmen 3D Secure einführt, sind Sie in den meisten Fällen vor einer möglichen Betrugshaftung in Europa geschützt, wenn der Kartenherausgeber die Transaktion genehmigt; selbst dann, wenn er SCA noch nicht unterstützen kann.
Außerhalb von Europa ausgestellte Karten, die nicht den neuen Vorschriften unterliegen, sind hiervon nicht betroffen.
Könnte es infolge von SCA zu einem Anstieg bei Ablehnungen kommen?
Kartenherausgeber sollten eine Transaktion nicht allein deshalb ablehnen, weil sie SCA noch nicht anwenden können; wir gehen auch nicht davon aus, da dies negative Folgen für ihre Karteninhaber hätte und auch Sie davon betroffen wären.
Allerdings besteht die Gefahr, dass manche Kartenherausgeber eine Transaktion ablehnen, um eine Haftungsverschiebung vermeiden. Wir haben keine Kontrolle hierüber, gehen jedoch davon aus, dass die Kartenherausgeber die Vorschriften der ausgebenden Institute einhalten werden, unabhängig davon, ob sie SCA unterstützen können.
Kann ich mich gegen die Teilnahme an 3D Secure entscheiden, um mögliche Reibungsverluste zu vermeiden?
Die Antwortet lautet: nein. Die neuen Vorschriften treten am 14. September in Kraft; ab diesem Zeitpunkt können Zahlungsanbieter oder Kartenherausgeber nur dann eine Transaktion von der SCA befreien, wenn sie die Voraussetzungen für eine Freistellung erfüllt.
Falls Sie einen berechtigten Grund haben, warum Ihr Unternehmen 3D Secure nicht bis zum 14. September in seinen Verkaufsprozess integrieren kann, wenden Sie sich bitte an Ihren Kundenbetreuer, um weitere Schritte zu besprechen.
Was sollten Sie noch wissen
Die EBA hat ebenfalls klargestellt, was als Faktor für 2FA anerkannt wird. Dies kann im Widerspruch zu dem stehen, was einige Finanzinstitute zuvor angenommen hatten. So weisen beispielsweise die Kartennummer, das Ablaufdatum und die CVV-Nummer (Card Verification Value [Sicherheitscode]) bei Online-Benutzung den Besitz der Karte nicht nach; es sei denn, sie wird zusätzlich durch einen dynamischen Kartensicherheitscode belegt.
Eric Horgan, Commercial Product Leader bei Elavon Europe, kommentiert die neue Leitlinie der EBA wie folgt:
Die Stellungnahme der EBA stellt eine pragmatische Antwort an eine Branche dar, die sich der Optimierung der Kundensicherheit verschrieben hat, sich aber auch der Bedeutung eines funktionierenden Zahlungssystems sowie der Qualität der Benutzererfahrung bewusst ist.
Es gab Klarstellungen dazu, wie die SCA-Anforderungen erfüllt werden können; diese lagen jedoch mit der Interpretation der Zahlungsdienstleister und Kartenherausgeber (in Hinblick auf die Anwendung von 3D Secure) weit auseinander. Wäre die Stellungnahme bereits vor einem Jahr erfolgt, hätte sie wirklich geholfen, weswegen wir eine gewisse Frustration empfinden.
Infolge dieser Entwicklungen werden wir, bedingt durch die Komplexität unseres Ökosystems, zusätzliche Zeit benötigen. Die Branche hat sich verpflichtet, diese Änderungen durchzuführen. Ich erwarte jedoch, dass sich dies auf die Benutzererfahrung während der Migrationsphase auswirken wird, die abhängig vom jeweiligen Händler, der verwendeten Version von 3D Secure sowie den europaweit unterschiedlichen Standpunkten der Kartenherausgeber unterschiedlich ausfallen können.
Ich gehe davon aus, dass die Authentifizierung und die von den Händlern verwendeten Methoden zur zweifelsfreien Feststellung der Identität eines Zahlungsempfängers letztlich so reibungslos wie nur möglich und die Sicherheit optimiert werden wird.
Die Benutzererfahrung bei der Authentifizierung wird das nächste Reizthema in der Zahlungsbranche sein; es wird alles dafür getan werden, dass die Warenkörbe nicht aufgegeben werden und die Käufer sich weiter online durch Europa bewegen.“
Haben Sie noch Fragen? Ihr Elavon Kundenberater ist gerne für Sie da.
ELAVON.DE
Wichtiges Update zur Umsetzung der starken Kundenauthentifizierung
Mögliche Auswirkungen der starken Kundenauthentifizierung auf Ihr Geschäft.